Document de consultation sur le Deuxième Protocole additionnel à la Convention de Budapest

Mémoire du Commissariat à la protection de la vie privée du Canada à l’intention du ministère de la Justice Canada

Le 22 mars 2024

Monsieur Gareth Sansom
Directeur adjoint, Technologie et analyse
Section de la politique en matière de droit pénal
Ministère de la Justice
284, rue Wellington
Ottawa (Ontario) K1A 0H8

Objet : Document de consultation sur le Deuxième Protocole additionnel à la Convention de Budapest

Monsieur,

Nous vous remercions d’avoir fourni une copie de votre récent document de consultation ainsi que d’autres renseignements généraux. Nous tenons également à vous remercier d’avoir accepté de nous rencontrer en février pour nous présenter une description détaillée de la situation. Nous sommes reconnaissants de ces efforts et disposés à poursuivre les discussions au besoin.

Contribution passée à l’élaboration du Deuxième Protocole additionnel

Comme vous le savez, le Commissariat à la protection de la vie privée du Canada est depuis longtemps membre de l’Assemblée mondiale pour la protection de la vie privée (AMVP), un réseau mondial d’autorités de protection des données. Nous dirigeons divers groupes de travail de l’AMVP et interagissons avec plusieurs comités liés au Conseil de l’Europe, notamment le comité pour la protection des données ainsi que le comité attaché à la Convention de Budapest, qui se concentre sur la cybercriminalité. À ce titre, nous avons déjà donné notre avis sur la proposition de protocole à deux reprises, en 2019 et en 2021; des copies de ces lettres sont jointes à la présente communication à des fins de référence.

Évolution du contexte d’application de la loi et de coopération internationale

Bien que le Canada démontre un engagement de longue date envers la Convention de Budapest et l’élaboration de protocoles additionnels, les propositions les plus récentes concernent aussi d’autres initiatives gouvernementales visant à élargir les pouvoirs d’enquête, sur lesquelles le Commissariat a également été consulté. Ces initiatives sont les suivantes :

les consultations antérieures du ministère de la Justice Canada sur l’accès aux données relatives aux abonnés,
les négociations en cours entre le Canada et les États-Unis en vue d’élaborer un accord bilatéral sur l’accès aux données des organismes d’application de la loi à la suite de la Clarifying Lawful Overseas Use of Data (CLOUD) Act (loi américaine clarifiant l’utilisation légale des données à l’étranger) de 2016^{Note de bas de page 1},
les consultations menées par Finances Canada sur le régime fédéral de lutte contre le recyclage des produits de la criminalité et le financement du terrorisme^{Note de bas de page 2}, et, dans le contexte de la sécurité nationale,
les récentes consultations de Sécurité publique Canada proposant de nouveaux pouvoirs de fouille et de perquisition dans le contexte de l’ingérence étrangère^{Note de bas de page 3}.

Ces liens constituent l’importante toile de fond des commentaires qui suivent et, plus particulièrement, renseignent sur les domaines dans lesquels le Commissariat a recensé des risques d’atteinte à la vie privée.

Ces discussions ont, à différents stades de leur avancée, incorporé des propositions ou des éléments semblables aux dispositions du Deuxième Protocole additionnel, comme vous l’avez indiqué dans votre document de consultation. Nos commentaires porteront sur les éléments suivants :

les demandes directes provenant des organismes d’application de la loi ou d’autres autorités compétentes;
les ordonnances de divulgation des données relatives aux abonnés et au trafic;
les garanties, la protection des données, la transparence et la surveillance;
les questions destinées aux commissaires à la protection de la vie privée à propos des pouvoirs et de l’interopérabilité.

Demandes directes provenant des organismes d’application de la loi

Comme indiqué dans le document, l’article 7 du Protocole permettrait aux enquêteurs des organismes d’application de la loi ou à d’autres autorités compétentes d’un pays d’obtenir des renseignements relatifs aux abonnés (selon la définition du paragraphe 18(3) de la Convention de Budapest) auprès d’un fournisseur de services d’un autre pays. Étant donné que la jurisprudence et les normes constitutionnelles — tout comme la surveillance et l’examen en vigueur — varient d’un État à l’autre, cette initiative soulève des questions d’ordre juridique et qui concerne la protection de la vie privée.

Les nombreuses propositions concernant l’accès aux données relatives aux abonnés qui ont vu le jour ces dernières années rendent manifeste que la protection de la vie privée demeure un sujet de discorde parmi les différentes initiatives citées plus haut. Cette situation persistera probablement, car les tribunaux des différents pays ont leur propre point de vue sur les niveaux appropriés de protection juridique, les attentes raisonnables en matière de protection de la vie privée et l’incidence des technologies émergentes et de l’environnement en ligne^{Note de bas de page 4}.

Cette même question s’est posée au niveau national, dans le contexte de la comparaison des régimes fédéral et provinciaux de protection des données au Canada, lorsque des propositions visant à autoriser l’accès à la police fédérale et aux polices provinciales aux données relatives aux abonnés ont été avancées par le Groupe de travail sur la cybercriminalité du Comité de coordination des hauts fonctionnaires en 2016^{Note de bas de page 5}. La Section de la politique en matière de droit pénal du ministère de la Justice Canada a contribué à coordonner ces discussions, et les questions de l’accès direct et des mécanismes de surveillance ont également été soulevées à cette occasion. Les commissaires à la protection de la vie privée du Canada et de ses provinces ont donné leur avis sur ces questions. Nous croyons leur avis fort pertinent pour la présente discussion et en avons donc inclus une copie à des fins de référence, considérant également que ces préoccupations sont toujours d’actualité^{Note de bas de page 6}.

Comme indiqué dans le document de consultation (à la page 10), la Cour suprême du Canada a examiné les seuils juridiques appropriés en ce qui concerne l’accès de la police aux données dans l’affaire R. c. Spencer. Dans cette décision, la Cour s’est prononcée à l’unanimité sur le droit des utilisateurs d’Internet à une attente raisonnable en matière de respect de la vie privée en ce qui concerne leurs données. Il ne s’agit là que d’un cas parmi des dizaines d’autres concernant la collecte par la police de données sensibles découlant de l’utilisation d’Internet^{Note de bas de page 7}.

Plus récemment, la décision rendue par la Cour suprême du Canada en mars 2024 dans l’affaire R. c. Bykovets^{Note de bas de page 8} va plus loin. Dans sa décision, la Cour compare les adresses IP à un « fragment numérique » capable de révéler la « trace du parcours d’un internaute dans le cyberespace »^{Note de bas de page 9}. La Cour a donc estimé qu’une adresse IP pourrait permettre de divulguer des renseignements personnels bien avant l’obtention d’un « mandat de type Spencer » ^{Note de bas de page 10}. La Cour a donc conclu que, même si une adresse IP ne révèle pas immédiatement l’identité d’un utilisateur, elle suscite néanmoins une attente raisonnable au respect de la vie privée ^{Note de bas de page 11}. En conséquence, la Cour a estimé que « la surveillance judiciaire en ce qui a trait à une adresse IP est le moyen de réaliser l’objectif de l’article 8 [de la Charte] d’empêcher les atteintes à la vie privée » ^{Note de bas de page 12}. Il serait donc difficile d’envisager qu’un régime autorisant l’accès aux données relatives aux abonnés sans autorisation judiciaire soit compatible avec le droit canadien.

Le Commissariat a donné son avis sur les renseignements relatifs aux abonnés devant le Parlement ^{Note de bas de page 13}, les tribunaux ^{Note de bas de page 14} et le gouvernement ^{Note de bas de page 15}. Notre position de longue date, soutenue à la fois par l’affaire Spencer et la jurisprudence subséquente^{Note de bas de page 16}, est que les renseignements relatifs aux abonnés ne devraient être accessibles qu’avec une autorisation judiciaire, sauf dans des circonstances vraiment exceptionnelles. Ainsi, comme l’article 7 prévoit l’accès aux renseignements relatifs aux abonnés sans autorisation judiciaire, il créerait un régime d’accès pour les organismes d’application de la loi qui ne semble pas conforme à la jurisprudence de notre pays, bien que ce processus puisse être autorisé ailleurs.

Les décisions relatives à la ratification du Protocole en général, et de l’article 7 en particulier, devraient également tenir compte de la modernisation des lois qui pourrait avoir une incidence sur la collecte et la communication de renseignements dans le secteur public. Nous notons que le Parlement étudie actuellement le projet de loi C-26, Loi concernant la cybersécurité, qui est actuellement devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes. Ce nouveau cadre juridique pourrait en fin de compte comporter à la fois des pouvoirs supplémentaires de collecte et de communication de renseignements, comme les données relatives aux abonnés, auprès des opérateurs de services de télécommunication et de cybersystèmes, en plus de nouvelles conditions, contraintes, garanties ou mesures de surveillance en ce qui concerne cette collecte et cette communication.

En résumé, bien que le ministère de la Justice Canada soit en définitive le mieux placé pour évaluer les éventuels moyens de se conformer au Protocole, nous pensons que le fait de garantir le droit de refuser la disposition relative à la demande directe décrite à l’article 7 constituerait probablement la solution la plus claire, la plus simple et la moins litigieuse du point de vue de la protection de la vie privée^{Note de bas de page 17}. Compte tenu des autres éléments relatifs à la communication de renseignements mis en place par le Protocole et mentionnés ci-après, nous pensons qu’il est essentiel que toute proposition soit conforme à l’obligation clairement énoncée dans la jurisprudence canadienne d’obtenir une autorisation judiciaire préalable pour recueillir des renseignements relatifs aux abonnés.

Ordonnance de divulgation des données relatives aux abonnés et au trafic

L’article 8 du Protocole et les dispositions relatives à l’accès décrites dans le document de consultation (page 11) proposent des procédures et des mécanismes parallèles. Si ces dispositions étaient transposées en droit national, elles pourraient permettre au Canada de donner les moyens à un juge d’une cour supérieure fédérale ou provinciale d’examiner et d’approuver une ordonnance venant des organismes d’application de la loi d’une autre administration. Ces dispositions pourraient être utilisées par les organismes d’application de la loi pour accéder aux renseignements relatifs aux abonnés ou aux données relatives au trafic sur Internet.

Tant pour l’accès aux renseignements relatifs aux abonnés qu’aux données relatives au trafic sur Internet, le Commissariat est d’avis qu’un contrôle judiciaire indépendant, c’est-à-dire sans lien avec un mandat d’enquête ou de poursuite en particulier, correspond mieux aux attentes en matière de contrôle indépendant et impartial formulées par les tribunaux canadiens. Comme l’indique le document de consultation, l’autorisation judiciaire en tant que norme reconnue dans un processus d’enquête est un élément essentiel du contrôle judiciaire et doit être obtenue avant l’utilisation des pouvoirs légaux d’accès aux données (page 15).

Cela dit, l’extension de cette procédure juridique au-delà des renseignements relatifs aux abonnés pour y inclure les données relatives au trafic aurait aussi des conséquences importantes sur la protection de la vie privée. Comme nous l’avons noté précédemment, tant devant les tribunaux que dans les avis fournis au Parlement, les données transactionnelles issues de l’activité en ligne peuvent être très sensibles et révélatrices, car elles peuvent fournir des renseignements détaillés sur la situation financière, la santé physique et mentale ainsi que sur les opinions religieuses ou politiques d’une personne^{Note de bas de page 18}.

Si le Canada choisit de ne pas se retirer au titre du paragraphe 8(13), il doit veiller à ce que des garanties complètes, appropriées et robustes soient appliquées à toute communication de données relatives au trafic, y compris, par exemple, un mécanisme de notification, une surveillance, des limitations d’utilisation et d’autres garanties procédurales, comme nous le décrivons dans la section suivante.

Garanties, transparence et surveillance

L’article 13 du Protocole énumère une liste d’exigences supplémentaires à appliquer avant que les procédures d’enquête mentionnées ci-dessus puissent être utilisées, dont beaucoup sont fondées sur des principes de protection des données bien établis, tels que la base juridique du traitement, les motifs raisonnables de la fouille et de la perquisition, la limitation de l’étendue de la collecte, etc. L’article 14 exige que des dispositions soient mises en place pour garantir l’exactitude des données recueillies, la limitation de la durée de conservation des données, l’application de garanties de sécurité appropriées et le respect des droits d’accès.

La résolution d’octobre 2021 de l’AMVP sur les contrôles et garanties appropriés en matière de protection des données dans le contexte précis de l’accès des organismes d’application de la loi aux données dans le secteur privé présente un intérêt pour cette discussion^{Note de bas de page 19}. Bien que cette résolution n’en était qu’à ses débuts lorsque nous avons commenté le Protocole en avril 2021, nous pensons qu’elle offre des solutions intéressantes à prendre en considération. Nous en avons joint une copie (en anglais seulement) à des fins de référence.

La résolution propose huit conditions essentielles pour que l’accès des organismes d’application de la loi respecte les principes de protection des données et les garanties juridiques appropriées. Il s’agit notamment de la nécessité d’une autorité législative claire, d’un contrôle des critères de nécessité et de proportionnalité, de mécanismes pour garantir la transparence envers le public, de procédures de droits d’accès individuels, d’une surveillance indépendante, de limitations de l’utilisation secondaire et de dispositions efficaces en matière de recours et de réparation.

Compte tenu des éléments mis en évidence dans les articles 13 et 14, nous pensons que la mise en œuvre du Protocole par le Canada pourrait être alignée sur les exigences fondamentales mentionnées dans les lignes directrices de l’AMVP. Nous tenons à souligner que d’autres organismes, tels que l’Organisation de coopération et de développement économiques et le G7, ont par la suite publié des attentes de base similaires assorties de principes comparables^{Note de bas de page 20}. En outre, nous pensons que le projet de loi C‑27, actuellement examiné par le Parlement^{Note de bas de page 21}, et plusieurs des propositions de modernisation de la Loi sur la protection des renseignements personnels formulées par le ministère de la Justice Canada^{Note de bas de page 22} satisferaient à bon nombre des exigences fondamentales énoncées à l’article 14. Par exemple, la modernisation de la Loi sur la protection des renseignements personnels pour répondre à ces nouvelles obligations permettrait de clarifier la manière dont les organismes nationaux d’application de la loi traitent les renseignements personnels qu’ils reçoivent d’autres pays. Nous profitons donc de l’occasion pour inviter le gouvernement à accorder une priorité à ces initiatives.

Pouvoirs de protection des données et interopérabilité

En ce qui concerne les pouvoirs juridiques des commissaires à la protection de la vie privée au Canada, il est important de noter qu’il existe des différences d’une province à l’autre ainsi qu’entre les lois fédérale et provinciales. Par exemple, dans certaines administrations provinciales, les autorités peuvent suspendre ou annuler les transferts de données. La loi fédérale sur la protection de la vie privée n’habilite pas le Commissariat à le faire. Nous savons que vous consultez les autorités provinciales sur ces questions en particulier.

De notre point de vue, même si les normes de base en matière de protection de la vie privée sont similaires, les différences de mise en œuvre peuvent créer des difficultés de collaboration entre les administrations. Cela pourrait aussi être source de confusion, en particulier lorsque des pays étrangers souhaitent obtenir des données au Canada dans le cadre d’une enquête précise. Le manque de clarté en ce qui concerne la surveillance pourrait compliquer la mise en œuvre des dispositions du Protocole (p. ex., les exigences en matière de notification prévues à l’article 14, mentionnées à la page 17). Selon nous, la cohérence et l’interopérabilité de la protection des données sont essentielles pour garantir une collaboration efficace. Cela confirme à nouveau l’importance du travail du ministère de la Justice Canada à la modernisation de la Loi sur la protection des renseignements personnels.

Conclusion

Je vous remercie une fois de plus d’avoir consulté le Commissariat et ses homologues provinciaux dans le cadre de la poursuite des travaux sur l’approche du Canada à l’égard du Protocole. Nous sommes reconnaissants du temps que vos fonctionnaires ont pris pour expliquer l’évolution de l’initiative et nous vous remercions pour les autres renseignements généraux que vous avez fournis. Si vous souhaitez obtenir des renseignements supplémentaires sur l’un des documents susmentionnés ou si vous avez des questions complémentaires, n’hésitez pas à communiquer avec Christopher Prince, analyste principal des politiques et de la recherche, à l’adresse suivante Christopher.Prince@priv.gc.ca.

Je vous prie d’agréer, Monsieur, mes salutations les meilleures.

Gregory Smolynec
Sous-commissaire, Politiques et promotion

Pièces jointes : (3)

Commissariat à la protection de la vie privée du Canada, Input to EC Committee examining new protocol for COE Convention on Cybercrime (anglais seulement) [Commentaires à l’intention du comité du Conseil de l’Europe examinant le nouveau protocole pour la Convention sur la cybercriminalité du Conseil de l’Europe] (avril 2021)
Commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée, Lettre de réponse conjointe à la consultation sur l’accès légal menée par le Groupe de travail sur la cybercriminalité du Comité fédéral, provincial et territorial de coordination des hauts fonctionnaires (mars 2017)
Assemblée mondiale pour la protection de la vie privée, Government Access to Data, Privacy and the Rule of Law: Principles for Governmental Access to Personal Data held by the Private Sector for National Security and Public Safety Purposes (anglais seulement) (octobre 2021)

Notes de bas de page

Notes de bas de page 1

Département de la Justice des États-Unis, United States and Canada Welcome Negotiations of a CLOUD Act Agreement (mars 2022) (en anglais seulement).

Retour à la notes de bas de page 1

Notes de bas de page 2

Ministère des Finances du Canada, Consultation sur le renforcement du Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes.

Retour à la notes de bas de page 2

Notes de bas de page 3

Sécurité publique Canada, Renforcer les mesures visant à contrer l’ingérence étrangère : Faut-il modifier la Loi sur le service canadien du renseignement de sécurité? (novembre 2023).

Retour à la notes de bas de page 3

Notes de bas de page 4

Voir, par exemple, Comité de la Convention Cybercriminalité (T-CY), Préparation d’un Deuxième Protocole additionnel à la Convention de Budapest sur la cybercriminalité, Conditions d’obtention des informations sur les abonnés concernant les adresses IP dynamiques par rapport aux adresses IP statiques : vue d’ensemble des décisions judiciaires et des développements pertinents.

Retour à la notes de bas de page 4

Notes de bas de page 5

Groupe de travail sur la cybercriminalité du Comité fédéral, provincial et territorial de coordination des hauts fonctionnaires (justice pénale), Accès aux renseignements de base des abonnés et incidence de la décision de la Cour suprême du Canada dans l’affaire R. c. Spencer – Document de consultation (16 décembre 2016).

Retour à la notes de bas de page 5

Notes de bas de page 6

Commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée, Lettre de réponse conjointe à la consultation sur l’accès légal (mars 2017).

Retour à la notes de bas de page 6

Notes de bas de page 7

On peut notamment souligner la décision de la Cour suprême de 2014 dans l’affaire R. c. Spencer, 2014 CSC 43, et plus récemment dans l’affaire R. c. Bykovets, 2024 CSC 6.

Retour à la notes de bas de page 7

Notes de bas de page 8

Supra, note 8.

Retour à la notes de bas de page 8

Notes de bas de page 9

Supra, paragraphe 91.

Retour à la notes de bas de page 9

Notes de bas de page 10

Supra, paragraphes 10, 60.

Retour à la notes de bas de page 10

Notes de bas de page 11

Supra, paragraphe 80.

Retour à la notes de bas de page 11

Notes de bas de page 12

Supra, paragraphe 88.

Retour à la notes de bas de page 12

Notes de bas de page 13

Commissariat à la protection de la vie privée, Projet de loi C-13, Loi modifiant le Code criminel, la Loi sur la preuve au Canada, la Loi sur la concurrence et la Loi sur l’entraide juridique en matière criminelle : Mémoire présenté au Comité permanent de la justice et des droits de la personne de la Chambre des communes(juin 2014).

Retour à la notes de bas de page 13

Notes de bas de page 14

Commissariat à la protection de la vie privée, Mémoire de l’intervenante, la commissaire à la protection de la vie privée du Canada : Dans la cause de Matthew David Spencer et sa Majesté la Reine.

Retour à la notes de bas de page 14

Notes de bas de page 15

Commissariat à la protection de la vie privée, section « Accès aux renseignements de l’abonné et aux appareils électroniques »,Consultation publique sur le renforcement du Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes : Mémoire du Commissariat à la protection de la vie privée du Canada à l’intention du ministère des Finances du Canada (août 2023).

Retour à la notes de bas de page 15

Notes de bas de page 16

Voir par exemple : R. c. Hughes, 2023 ONSC 109; et, R. c. Wong, 2016 BCSC 1834.

Retour à la notes de bas de page 16

Notes de bas de page 17

Cela dit, si le Canada devait se trouver dans une situation où aucune réserve sur l’article 7 n’était possible, nous pensons que deux mesures de sécurité importantes consisteraient à exiger que les demandes soient soumises 1) à l’approbation d’une autorité indépendante, et 2) à une certaine forme d’examen après coup. Nous pensons que cette solution est possible selon les termes de l’alinéa 7(2)b), étant donné que les États membres de l’Union européenne (UE) qui ont l’intention de ratifier le Protocole doivent s’assurer que ces mécanismes d’équité procédurale sont en place. Si le gouvernement décide d’adopter l’article 7, nous pensons que le Canada devrait s’aligner sur l’approche de l’UE, en plus d’adopter les dispositions relatives à la notification et à la consultation décrites (pages 9-10).

Retour à la notes de bas de page 17

Notes de bas de page 18

Commissariat à la protection de la vie privée, section « Quelques exemples de métadonnées dans le contexte des communications » de la page Métadonnées et vie privée : Un aperçu technique et juridique (octobre 2014).

Retour à la notes de bas de page 18

Notes de bas de page 19

Assemblée mondiale pour la protection de la vie privée, Government Access to Data, Privacy and the Rule of Law: Principles for Governmental Access to Personal Data held by the Private Sector for National Security and Public Safety Purposes [accès des gouvernements aux données, protection de la vie privée et primauté du droit : principes pour l’accès gouvernemental aux données personnelles détenues par le secteur privé pour des raisons de sécurité nationale et de sûreté publique] (octobre 2021) (en anglais seulement).

Retour à la notes de bas de page 19

Notes de bas de page 20